Ce thème a pour objectif de garantir que tous les utilisateurs (internes et externes) du SI connaissent leurs responsabilités, qu’ils conviennent à ces responsabilités, de réduire le risque de vol, de fraude et de mauvais usage des équipements. Egalement de veiller à ce que tous soient conscients des menaces pesant sur la sécurité du SI, de leurs responsabilités et que chacun dispose des outils pour prendre la politique de sécurité de l’entreprise dans le cadre de leurs fonctions. Et enfin tout ceci en suivant leur parcours au sein de l’entreprise, depuis leur entrée jusqu’à leur départ.
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
On cherche à savoir :
Si les rôles et responsabilités en matière de SSI des futurs collaborateurs sont définis et documentés
S’ils sont en conformité avec la politique de sécurité des systèmes d’information
Idem pour les prestataires
8.1.2 Sélection
On cherche à savoir :
Si des vérifications sont effectuées sur les candidats (casier judiciaire, anciens employeurs, etc…) en accord avec la/les réglementation(s) en vigueur
8.1.3 Conditions d’embauche
On cherche à savoir :
Si des clauses de confidentialité et/ou des accords de non divulgation font partie des contrats de travail, et des contrats de prestation
Si les responsabilités des parties en termes de SSI sont explicitées
8.2 Pendant la durée du contrat
8.2.1 Responsabilité de la direction
On cherche à savoir :
Quelle est le niveau d’exigence de la direction vis à vis de l’application par les salariés et prestataires, des procédures et des politiques établies
8.2.2 Sensibilisation, qualification, et formations en matière de SSI
On cherche à savoir :
Si l’ensemble des salariés et, lorsque c’est pertinent, des prestataires, sont formés aux pratiques de sécurités en rapport avec leur poste
Si ces formations sont renouvelées régulièrement
8.2.3 Processus disciplinaire
On cherche à savoir :
Si des processus disciplinaire sont formalisés pour les personnes ayant commises des infractions à la SSI
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
On cherche à savoir :
Si les responsabilité de fin de contrat, ou de changement de poste, sont clairement définies et appliquées
8.3.2 Restitution des biens
On cherche à savoir :
S’il existe des procédures en application concernant la restitution des biens de l’entreprise lors d’une cessation de contrat
8.3.3 Retrait des droits d’accès
On cherche à savoir :
Si les accréditations de l’ensemble des salariés et prestataires sont mise à jour (suppression, modification) en cas de changement de poste ou de cessation de contrat